当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2015-0158471
漏洞标题:
国药集团某分公司OA系统多个漏洞/Getshell/泄露大量敏感重要资料
相关厂商:
国药集团
漏洞作者:
路人甲
提交时间:
2015-12-06 10:15
修复时间:
2015-12-11 10:16
公开时间:
2015-12-11 10:16
漏洞类型:
SQL注射漏洞
危害等级:
自评Rank:
20
漏洞状态:
漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2015-12-06: 细节已通知厂商并且等待厂商处理中
2015-12-11: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

详细说明:

http://218.26.176.181:8082/yyoa/
查看标题是国药集团山西有限公司的OA系统
敏感信息泄露:

gysx1.PNG


数据库信息:

gysx2.PNG


session信息泄露

gysx3.PNG

可登陆的。
任意SQL语句执行

gysx4.PNG


getshell

gysx5.PNG


大量的客户信息:

gysx6.PNG


重要资料:

gysx7.PNG

gysx8.PNG

gysx9.PNG


所有员工的身份证等信息

gyxs11.PNG


可内网渗透

gyxx10.PNG


计算机拓扑图

gysx12.PNG


还有很多敏感资料。。。内网渗透妥妥的。

漏洞证明:

修复方案:

版权声明:转载请注明来源 路人甲@乌云

>

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-12-11 10:16

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无